Наблюдение за групповыми объектами очень важно, поскольку позволяет предотвратить незапланированное присвоение административных прав или включение пользователей в любые другие группы.
Отвечающий за это параметр Групповой политики находится в разделе «Конфигурация компьютера | Конфигурация Windows | Расширенные параметры политики аудита | Управление учетными записями | Управление группами безопасности» (Computer Configuration | Windows Settings | Advanced Audit Policy Configuration | Account Management | Security Group Management) (рис. A).
Рисунок A. Нажмите на изображении для увеличения.
После включения аудита групп безопасности, все связанные с этим события будут регистрироваться в журнале безопасности. К событиям безопасности относятся создание группы, изменение членства в группе, а также изменение типа группы. Чтобы проверить данный механизм в действии, я настроил тестовый сервер и включил в группу администраторов гостевого пользователя. Такое событие несомненно заинтересует системного администратора, поэтому очень важно, чтобы оно было зафиксировано в журнале. На рис. B показано сообщение о добавлении гостевого пользователя в группу.
Рисунок B. Нажмите на изображении для увеличения.
Кроме того, в журнале указывается, кто произвел данное действие, в этом примере — «WIN-5E1BBEM4KP8\Administrator» (локальный администратор сервера). События можно фильтровать, а также перенаправлять для сбора данных по определенной категории событий.
